文章目錄
- 安全管理制度
-
- 8.1.6.1 安全政策
- 8.1.6.2 管理制度
- 8.1.6.3 制定和釋出
- 8.1.6.4 評審和修訂
本次從頭梳理一下等保2.0涉及到的主要步驟:
等保概述、定級備案、差距評估、規劃設計、安全整改以及測評驗收等。
定級備案後就開始正式測評工作,我們忽略掉簽合同、開項目啟動會等非技術性環節,本節開始就要按等保測評的安全通用要求十個方面逐個按測評指導書結合等保要求來進行詳細的分析。
前面幾篇講解了技術類差距評估,還有一塊是安全管理中心,這部分是等保2.0中新加的内容,但是如果有堡壘機和審計系統基本上沒什麼問題,這裡就不專門進行講解,從本節開始直接将安全通用要求的後面五個跟規章制度相關的内容進行講解。相對而言管理層面的整改相對技術層面的整改要簡單,主要涉及各種規章制度,記錄表等,整改成本也較低,是以對管理層面的差距評估及整改是等保中的拿分項。
安全管理制度
安全通用要求的安全管理制度部分針對整個管理制度體系提出安全控制要求,涉及的安全控制點包括安全政策、管理制度、制定和釋出、評審和修訂四個方面。各等級控制點分布如下圖所示,内容還算不多。
8.1.6.1 安全政策
8.1.6.2 管理制度
對于c)要注意:
1)訪談安全主管,詢問是否制定資訊安全工作的總體方針和安全政策,制定安全管理制度,具有操作規程,形成資訊安全管理制度體系。
2)檢查現有安全政策、管理制度、操作規程之間存在連貫性。
8.1.6.3 制定和釋出
說明:需在制度内明确具體的負責人。
說明:管理制度的格式及辨別内容可以在檔案管理程式或專門管理制度發文的管理要求内展現。
8.1.6.4 評審和修訂
說明:在系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構群組織結構等發生變更時是否對安全管理制度進行審定,對需要改進的制度進行修訂。